Questionnent des cours
1- Qu’est-ce que la sécurité ? • Ressource : tout objet ayant une valeur pour une
La sécurité sur un réseau consiste à s'assurer que celui qui
modifie ou consulte des données du système en a
l'autorisation et qu'il peut le faire correctement car le
service est disponible.
2- Quels sont les principaux objectifs de la
sécurité informatique ?
L'intégrité, La confidentialité, La disponibilité, La non
répudiation, L'authentification
3- Quelle est la différence entre l’approche
réactive et proactive dans la gestion des risques ?
•L’approche proactive efficace permette de diminuer
considérablement les risques d'incidents de sécurité.
•L’approche réactive puisse s'avérer efficace pour résoudre
des incidents de sécurité liés à l'exploitation de risques de
sécurité.
4- Quels sont les types de pirates ?
•Les « white hat hackers » •Les « black hat hackers » •Les «
script kiddies » •Les « phreakers » •Les « carders » •Les «
crackers »
5- Quels sont les types d’attaques ?
•Attaque direct •Attaque par rebond •Attaque indirecte par
réponse
6- Donner quelques outils de détection des
vulnérabilités réseaux ?
•MBSA •GFA LANguard •Nessus
7- Donnez quelques outils pour sécuriser
notre système informatique ?
•Antivirus •Pare Feu •Proxy •Anti-malwares •DMZ
8- Pourquoi les systèmes sont-ils vulnérables
? publicités, sans l’autorisation de L’utilisateur parfois sous
La sécurité est devenue un point crucial des systèmes
d'informations. Cependant, les organisations sont peu ou
pas protégées contre les attaques sur leur réseau ou les
hôtes du réseau.
9- Qu'est-ce qu'un agent mobile ?
Un agent mobile est un programme autonome qui peut se
déplacer de son propre chef, de machine en machine sur un
réseau hétérogène dans le but de détecter et combattre les
intrusions.
10- Quelle est la différence entre DES et RSA ?
•DES utilise des clés d'une taille de 56 bits ce qui la rend de
nos jours faciles à casser avec les nouvelles technologies de
cryptanalyse. •RSA d'utiliser des clés de longueur variable de
40 à 2 048 bits.
11- Donnez l’équation qui caractérise le
terme
risque ?
Risque = (Menace * Vulnérabilité) /contre-mesure
12- Quel est le but du chiffrement ?
L’authenticité
13- Citer les principaux dispositifs permettant
de sécuriser un réseau contre les intrusions?
Agent Mobile, Proxy, Firewall.
14- Qu'est-ce que l’hameçonnage (phishing) ?
Le piratage de lignes téléphoniques Un procédé frauduleux
permettant de collecter des informations personnelles.
15- En matière de sécurité informatique,
Que désigne-t-on par cheval de Troie ?
MED ZAKI Un logiciel malveillant ayant l'apparence d'un
logiciel inoffensif mais qui comporte des instructions
nuisibles qui s'exécutent une fois le logiciel installé
16- Comment appelle-t-on un programme
qui s'installe discrètement sur l'ordinateur, collecte et
envoie des informations personnelles à des organisations
tierces ?
Espiogiciel
17- Quelles sont les méthodes
d'authentification ?
•Authentification par mot de passe •Authentification GSSAPI
•Authentification SSPI •Authentification Kerberos
•Authentification DES •Authentification RSA
•Authentification LDAP
18- Donner les trois catégories de sécurité
réseaux :
La sécurité physique La sécurité logique La sécurité
administrative
19- Les différents types d'attaques réseau
• Les attaques de reconnaissance (Un balayage de «Ping » ;
Le balayage de port ; Un capture de paquets (Sniffing) • Les
attaques de mot de passe (L’attaque par une liste de mot ;
L’attaque par force brute) • Les attaques d’accès (Le
Phishing - Le Pharming - L’attaque de « Man-in-the-middle
» : spoofing et hijacking - Les attaques mélangées) • Les
attaques de réseau contre la disponibilité (les dénis de
service par saturation-les dénis de service par exploitation
de vulnérabilités-L ’attaque SYN flood-L ’attaque ICMP flood)
• Les attaques rapprochées • Les attaques de relation
d'approbation
20- Les types de trafic réseau
• Le plan de gestion • Le plan de contrôle • Le plan de
données
21- le rôle de NTP
Le protocole NTP (Network Time Protocol ou NTP) permet
de synchroniser l'horloge locale d’un élément réseau
informatique avec celle d'un serveur de référence (un
serveur de temps public sur Internet ou avec une source de
temps interne)
22- le rôle de protocole SNMP :
Le protocole SNMP (Simple Network Management Protocol)
permet de superviser, Diagnostiquer et gérer, les
équipements réseau à distance.
23- le rôle du protocole AAA :
Le Protocole AAA est une stratégie de sécurité implémenté
dans certains routeurs Cisco qui réalise trois fonctions :
l'authentification, l'autorisation, et la traçabilité
24- Les types de pare-feu :
• Pare-feu NAT • Pare-feu de filtrage de paquets • Pare-feu
de filtrage de paquet avec état • Pare-feu applicatif (pare-
feu proxy)
25- Les types d’attaques sur la couche 2 :
• Les attaques d’inondation d'adresse MAC • L'attaque par
usurpation d'adresse MAC (ARPspoofing) • L’attaque DHCP
Starvation • L’attaque par saut de VLAN • Les attaques à
base du protocole STP
26- Les algorithmes de chiffrements
symétrique :
• DES • 3DES • AES • IDEA • RC2, RC4, RC5, RC6 • Blowfish
27- Les algorithmes de chiffrements
symétrique :
• RSA • Diffie-Hellman • DSA
28- Les types de hachage les plus utilisés
• MD5 : permet de créer des empreintes numériques de
taille 128-bit. • SHA-1 : permet de créer des empreintes
numériques de taille160-bit. • SHA-2 : permet de créer des
empreintes numériques de taille entre 224 bits et 512 bits.
Terminologie Router(config)# parser view viewname Superview
Créer une Super-vue en mode de configuration
organisation et qui doit être Protégée. • Une
vulnérabilité : C’est une faiblesse d'un système qui
pourrait être exploitée par une Menace.
• Une menace : Un danger potentiel pour une ressource
ou pour la fonctionnalité du Réseau.
• Une attaque : C’est une action prise par un attaquant
pour nuire à une ressource.
• Un risque : c’est la possibilité de la perte, l’altération,
la destruction ou autres Conséquences négatives de la
ressource d'une organisation. Le risque peut naître D’une
seule ou plusieurs menaces ou de l'exploitation d’une
vulnérabilité. Risque = Une Ressource + Menace +
Vulnérabilité
• Une contre-mesure : Une protection qui atténue une
menace potentielle ou un risque
• Virus : c’est un programme qui s'attache à un logiciel
pour exécuter une fonction spécifique non souhaitée sur
un ordinateur.
• Worms : ce sont des programmes autonomes qui
exploitent des vulnérabilités connues Dans le but de
ralentir un réseau. Ils ne nécessitent pas l'activation de
l'utilisateur et ils se dupliquent et tente d'infecter
d'autres hôtes dans le réseau
• Spyware : ce sont des logiciels espions qui sont
généralement utilisés dans le but D’influencer
l’utilisateur pour acheter certaine produits ou services.
Les spywares, en Générale, ne se propagent pas
automatiquement, mais ils s’installent sans autorisation.
• Adware : se réfère à tout logiciel qui affiche des
la forme de publicités pop-up.
• Scaryware : se réfère à une classe de logiciels utilisés
pour de convaincre les Utilisateurs que leurs systèmes
sont infectés par des virus et leur proposer une solution
Dans le but de vendre des logiciels.
• Un système de détection d'intrusion IDS : (Intrusion
Détection System) est un Capteur capable d’analyser les
paquets circulant sur un ou plusieurs lien(s) réseau dans
le but de détecter les activités suspectes.
• Un système de prévention d’intrusion IPS : (Intrusion
Prevention System) est un capteur capable de détecter
et d’empêcher toutes les attaques potentielles sur un
hôte Ou sur le réseau.
• Cryptanalyse : désigne l’ensemble des techniques et
méthodes utilisées pour tenter de retrouver le texte en
clair à partir du texte crypté
• La substitution poly-alphabétique : consiste à
remplacer un caractère par une autre choisie d’une façon
dynamique, déterminé par la clé de cryptage, et non plus
d’une manière fixe.
• Chiffrement symétrique : Dans le chiffrement
symétrique, la même clé est utilisée pour le chiffrement
et le déchiffrement d’où l’obligation que celle-ci reste
confidentielle.
• Le chiffrement asymétrique : (ou chiffrement à clés
publiques), une clé différente est utilisée à la fois pour
chiffrer et déchiffrer les données, et il est impossible de
générer une clé à partir de l’autre
Commandes
Cryptez tous les mots de passe
Router(config)# service password-encryption
Appliquer une longueur minimale pour tous les
nouveaux mots de passe. La longueur peut être de 1 à
16.
Router(config)# security passwords min-length length
Crypter le mot de passe du mode privilégié à l'aide de
message de l’algorithme MD5
Router(config)# enable algorithm-type {md5|scrypt|
sha256|}secret password
Cette commande permet de bloquer l’accès Pendant «
X » secondes après « Y » essaie d’accès dans 'z' secondes
#Login block-for X attempts Y within Z
Configurer un délai entre les tentatives successives de
connexion.
#Login delay second
Créer une base de données d’utilisateurs locaux et
crypter leurs mots de passe
Router(config)# username name privilege level secret
password
Réglez l'intervalle d'inactivité à une valeur. La valeur par
défaut est 10 minutes.
Router(config)#line vty 0 4
Router(config-line) #login local
Router(config-line) #exec-timeout minutes seconds
Accéder au mode « line auxiliaire ».
Router(config-line)# line aux 0
Désactiver le port auxiliaire
Router(config-line)# no exec
Il est recommandé d’utiliser la version 2
Router(config)# ip ssh version [1|2]
Définir le nombre de secondes à attendre pour que le
client SSH réponde pendant la phase de négociation. La
valeur par défaut est 120 secondes.
Router(config)# ip ssh time-out seconds
Limitez le nombre de tentatives de connexion. La valeur
par défaut est 3.
Router(config)# ip ssh authentication-retries Integer
Sécuriser la connexion vty.
Router(config)# login block-for seconds Attempts tries
within Seconds
Autoriser uniquement les sessions SSH
Router(config-line) # transport input ssh
Appliquez une ACL pour contrôler l’accès à la ligne vty
Router(config-line) # access-class ACL-number
Autoriser l’utilisation d’une commande à un Niveau de
privilège personnalisé.
Router(config)# privilege mode {level level command |
reset command}
Permettre d’assignez un mot de passe au niveau de
privilège personnalisé.
Router(config)# enable secret level level password
La Vérification du niveau de privilège
R1# show privilege
Accéder au niveau de privilège personnalisé.
Router>enable level
Accéder au port console (ou auxiliaire)
R1(config)# line console 0
Définir un niveau de privilège pour utiliser ce mode.
R1(config-line)#privilege level 4
Créer une vue nommée« ShowView »
R1(config)# parser view SHOWVIEW
Assignez une mot de passe à la vue.
R1(config-view) # secret cisco123
Cette vue peut utiliser tous les commandes du mode
EXEC privilégié
R1(config-view)# commands exec include show
.R1(config-view)# commands exec include ping
Cette vue peut utiliser la commande « ping » du mode
EXEC privilégié.
R1# enable view SHOWVIEW
Se connecter à la vue ShowView pour la vérifier.
Switch(config)# errdisable recoveryinterval seconds
Configurer la période de désactivation d’un port.
Router(config-view) # secret password
Assigner un mot de passe à la Super-vue.
Router(config-view)# view view-name
Affecter une vue existante à la SuperView. Des vues multiples peuvent
être assignées à une SuperView
Router# enable view view-name
Se connecter à la Super-vue pour la vérifier
R1#show parser view all
Afficher la liste des vues
Router(config)# ntp master stratum
Configurez le routeur pour qu'il soit le maitre NTP.
Router(config)# ntp authenticate
Activer l'authentification NTPMED ZAKI
Router(config)# ntp authentication-key keynumber md5 key-value
Définissez la clé et le mot de passe NTP et cryptez-le à l'aide de MD5.
Router(config)# ntp trusted-key key-number
Identifiez la clé de confiance sur le maître.
Client(config)# ntp server ntp-server-address
Définir le routeur maitre NTP auquel le client va se synchroniser.
Configurer un client SysLog
Router(config)# service timestamps log datetimemsec
Activer les horodatages sur les messages de débogage et de
journalisation. Router(config)# logging host [ip-address | hostname]
Identifiez l'adresse du serveur SysLog ou son nom d'hôte.
Router(config)# logging trap level Limiter les messages connectés aux
serveurs syslog en fonction de la gravité.
La valeur par défaut est 0 – 6.
Router(config)# logging on Activer l’envoie des messages pour la
Journalisation.
La valeur est « on » par défaut Router# show logging Afficher l'état de
journalisation et le contenu du tampon de journalisation système
standard. Router(config)#snmp-server community[tri] [ro] Configurer
l'identifiant de la « communauté » et son niveau d'accès (lecture seule
ou lecture/écriture).
Router(config)#snmp-server enable traps[nom de traps] Activer une
«traps » SNMP.
Router(config)#snmp-server host [@ IP Gestionnaire SNMP]
[nom_community].
Superviser votre équipement
Router#show snmp.
Vérifier de la configuration SNMP
Router(config)# username username privilege level secret password
Créer un utilisateur à la base de données locale et lui attribuer un mot
de passe.
Router(config)# aaa new-model
Créer un nouveau modèle AAA.
Router(config)# aaa authentication login { default | list-name}
{ method1[ method2 ...]}
Définir la méthode d'authentification à utiliser lors de l'accès aux lignes
console, vty ou aux. La méthode d'authentification incluelocal,
localcase et Enable.
Router(config)# aaa local Authentication attempts max-fail number
Sécurisez les comptes AAA en verrouillant les comptes qui ont dépassé
le nombre maximal de tentatives d'échec prédéfini
R1(config)# tacacs-server host{ host-name | host-ip-address}[ key
string ] [ port [ integer]][ single-connection ] [ timeout [seconds/].
Configurer l’adresse IP (ou le nom) du serveur TACACS +. Les autres
paramètres sont optionnels
R1(config)# radius-server host{ host-name | host-ip-address }[ auth-
port port-number ] [ acct-port port-number ] [ key password ]
Configurer l’adresse IP (ou le nom) du serveur RADIUS. Les autres
paramètres sont optionnels.
Router(config)# aaa group server radius groupname Grouper des hôtes
de serveur RADIUS existants et les utiliser pour un service particulier
Router(config-sg-radius) # server ip-address [auth-port port-number]
[acct-port portnumber]
Configurez l'adresse IP du serveur RADIUS pour le serveur de groupe.
Router(config)# aaa group server tacacs+ group-name
Regroupez les hôtes TACACS + Server existants et utilisez-les pour un
service particulier.
Router(config-sg-tacacs+)# server server-ip
Configurez l'adresse IP du
Router(config)# aaa authorization {exec | network | commands level}
{default | List-name} {method1 [method2 ...]}
Définit la stratégie d'autorisation à utiliser lors de l'accès aux modes
exec,network,command
R1(config)#access-list number [deny|permit] source [masque
générique]
Créer une ACL Standard numéroté
R1(config)#ip access-list standard nom_ACL
Créer une ACL Standard nommée
R1(Config-if) #ip access-group [number | name [ in | out ] ]
Activer une ACL sur une interface
R1(Config)#access-list number { deny | permit } protocol
source[masque générique]destination[masque générique]
Créer une ACL Etendue numérotée.
R1(config)# ip access-list extended nom_ACL
Créer une ACL Etendue nommée Les ACL IPv6
R1(config)# ipv6 access-list nom_ACL
Création de l’ACL de IPv6
R1(config-ipv6-acl) # {deny|permit} Protocole ipv6-source/CIDR [{eq|
neq|gt|lt|range} port] ipv6- destination/CIDR [{eq|neq|gt|lt|range}
port]
Configuration d’une ACL IPv6
R1(config)#interfacetype numéro
R1(config-if)#ipv6 traffic-filte nom_ACL {in|out}
Activation d'une ACL sur une interface
Router(config)#ip ips name ips-name [list acl
Créer un nom pour la règle IPS.
Router(config)#ip ips config location flash:dirname
Spécifier l'emplacement du fichier de signature IPS.
Router(config)# ip http server Activer le serveur http (requis lors de
l’utilisation de SDEE).
Router(config)# ip ips notify sdee
Activer la notification d'événement SDEE.
Router(config)# ip ips notify log
Ativer la journalisation.
Router(config)# ip ips signature-category
Entrez dans le mode de configuration des Catégories des signatures
IPS.
Router(config-ips-category) # category { all | ios_ips [ basic |
advanced ]}
Spécifiez la catégorie de signature à modifier
Router(config-if)# ip ips ips-name { in | out }
Appliquez la règle IPS à une interface.
Switch(config-if) # switchport mode access
Switch(config-if) # switchport port-security
Activer la sécurité des ports et attribuez l'adresse MAC actuelle au
port.
Switch(config-if) # switchport port-security maximum value
Définir le nombre maximal d'adresses MAC sécurisées pour l'interface.
Switch(config-if)# switchport port-security mac-address mac-address
Affecter manuellement les adresses MAC qui peuvent se connecter à
ce port.
Switch(config-if) # switchport port-security violation { protect | restrict
| shutdown |shutdown vlan }
Configurer l'action à prendre lorsque le nombre d'adresses MAC a
dépassé le maximum prédéfini.
switch(config)#ip arp inspection vlan vlan
Activer l'inspection ARP dynamique (DAI) sur un VLAN spécifique.
Switch(config)#interface g0/0
switch(config-if)#ip arp inspection trust
Configurer un port comme port fiable
S1(config)#ip dhcp snooping
Activer la fonctionnalité « DHCP snooping » sur tous les VLAN.
S1(config)#ip dhcp snooping vlan vlan
Activer la fonctionnalité « DHCP snooping » sur un VLAN spécifique. .
S1(config)#interface g0/0
S1(config-if)#ip dhcp snooping trust
Configurer un port fiable
S1#show ip dhcp snooping
afficher la configuration « DHCP snooping
------------------------------------------------------------------------------------------------
Qu’est-ce qu’un espace de nom de domaine DNS ?
La structure hiérarchique de l’espace de noms de domaines est telle
que :
• Domaine Racine : qui se trouve en haut de la structure du noms de
domaine, représente par point.
• Domaine de niveau supérieur : représente les TLDs (on a 224 TLD=Top
Level Domain, comme : com, fr, ma…)
• Domaine de niveau second : est un nom unique de logueur variable, il
est enregistré directement auprès des entreprises.
• Sous-domaines : permet à une organisation de subdiviser son nom de
domainepar département ou service Ex microsof.s.com
1- Les composants de serveur DNS :
- Serveur DNS : Ordinateur exécute le serveur DNS
- Client DNS : Ordinateur exécute le service client DNS
- Enregistrement de ressources DNS : entrée de base de données DNS qui
mappe les noms d’hôtes à des ressources.
2- Les requêtes DNS : Une requête est une demande de résolution des
noms envoyée à un serveur DNS.
Il existe 2 types de requête :
récursive et itérative. La requête peut être lancé par client/serv
- Requête récursive : est un requête envoyée à un serveur DNS dans
laquelle le client DNS demande au serveur DNS de fournir une réponse
complète.
- Requête itérative : est un requête envoyée à un serveur DNS dans
laquelle le client DNS demande au serveur DNS de fournir une meilleure
réponse.
3- Les indications de racine : Les indications de racine sont des
enregistrements de ressource DNS stocké sur un serveur DNS qui
répertorient les adresse IP des serveurs racines du système DNS. Ils sont
trouvés dans ‘cache.dsn’ qui se trouve dans le dossier ‘%systemroot
%\system32\dns\’.
4- Les redirecteurs : Un redirecteur est un serveur DNS que d’autres
serveurs DNS internes désignent comme responsable du transfert des
requêtes pour la résolution des noms de domaines externes ou hors
sites.
5- La mise en cache de serveur DNS : La mise en cache est le processus
qui consiste à stocker temporairement (durant le TTC de la réponse) dans
un sous système de mémoire spéciale des informations ayant fait l’objet
d’un accès récent pour y accéder plus rapidement ensuite
Les enregistrements et les zones DNS : Un enregistrement de ressource
est une structure de base de données DNS standard qui contient des
informations utilisées pour traiter les requêtes DNS. Il existe plusieurs
types des enregistrements de ressources :
- A (Host) : résous un nom d’hôte en adresse IP.
- PTR (Pointeur) : résous un adresse IP en nom d’hôte.
- SOA (Start Of Autority) : Premier enregistrement dans tout les fichiers
de la zone.
- SRV (Service) : Résoud les noms des serveurs qui fournissent des
services.
- NS Name Server Identifie le serveur DNS associé à chaque zon
- MX (Mail eXchange : Chemin pour messagerie) : Identifie le serveur de
messagerie à chaque zone.
- CNAME (Canonical NAME : Nom officiel) : Un nom d’hôte qui fait la
référence d’un autre nom d’hôte.
2- Les types des zones : Une zone est un ensemble des mappages de
noms d’hôtes à adresses IP. Il existe différents types de la zone :
- Zone Principale Standard : (Lecture/Ecriture) : Doit toujours être crée
en premier pour une nouvelle zone.
- Zone Secondaire Standard : (Lecture seule) : Contient toutes les
modifications effectuées sur le fichier de la zone principale. On utilise la
zone secondaire pour avoir une tolérance en panne et pour réduire les
charges pour la zone principale.
- Zone de Stub : contient uniquement les enregistrements de ressources
nécessaires à l’identification du serveur DNS faisant l’autorité pour la
zone.
3- La zone de recherche directe et la zone inversée :
- Zone de recherche directe : c’est une zone utilisée pour résoudre les
noms d’hôtes en adresses IP.
- Zone de recherche inversée : c’est une zone utilisée pour résoudre les
adresses IP en noms d’hôtes.
Réplication et transfert de zones Réplication La présence de serveurs de
noms de domaine secondaires DNS permet la réplication des fichiers de
zones.
Cette pratique se justifie dans les cas suivants :
** Offrir une redondance en cas de panne du serveur DNS principal.
** Réduire le trafic lorsque le domaine est dans des sites différents reliés
par des liaisons WAN.
** Réduire la charge du serveur de noms DNS principal. Transfert de
zone La réplication des fichiers de zones se fait au cours d’une opération
appelée transfert de zone.
Transfert de zone complet.Il y a un transfert complet du fichier de zone
lorsqu’un nouveau serveur de noms DNS secondaire est installé. On parle
de transfert de zone complet (AXFR) Transfert de zone incrémentiel Une
fois le transfert de zone complet effectué, il se fait une mise à jour des
fichiers de zones dans les serveurs de noms secondaire au cours d’une
opération nommée transfert de zone incrémentiel (IXFR)
DDNS Dynamic Domain Name System. Dès qu’un nouvel ordinateur
apparaît dans le domaine, le serveur DNS ajoute automatiquement un
enregistrement A avec son nom et son adresse IP dans le fichier de zone.
Ce service s’appuie sur le service DHCP
La création d'un fichier de zone : /etc/bind/db.isgim.tri
Les messages SNMP : Il existe 4 types de requêtes SNMP :
• get-request : Le Manager SNMP demande une information à un agent
SNMP
• get-next-request : Le Manager SNMP demande l'information suivante à
l'agent SNMP
• set-request : Le Manager SNMP met à jour une information sur un
agent SNMP
• trap : L'agent SNMP envoie une alerte au Manager .
Configuration SNMP :
Router(config)# snmp-server community Com1 ro/rw
Router(config)# snmp-server location 'Emplacement du R1
Router(config)# snmp-server contact informations personnes
Router(config)# snmp-server host 'IP de la NMS'
Router(config)# snmp-server enable traps snmp
 Équipement et dispositifs des réseaux WAN :
- Routeur - Serveur de communication - Commutateur WAN
- Modem - Unité CSU/DSU - CPE : - Point de démarcation de
service - Boucle locale - Commutateur du central
téléphonique - Réseau interurbain
Normes WAN : Il existe deux types de circuits : • Circuit
point-à-point * Circuit virtue
Les types de commutation : • commutation de circuits : •
commutation de paquets/cellules • Liaisons dédiées (lignes
louées)
Établissement de la communication : • Aussi appelé
signalisation, ce service permet d’établir ou de mettre fin à
la communication entre les utilisateurs du système
téléphonique.
Transit des données : • Multiplexage temporel : Principe
simple qui permet d’allouer l’intégralité de la bande
passante disponible d’une liaison par tranche de temps fixe,
affectée à chaque utilisateur.
Active Directory :
1 - Définition : L'Active Directory est un service qui permet
de stocker des informations sur les ressources de tout le
réseau et permet aux utilisateurs de localiser, gérer et
utiliser ces ressources. Il utilise le protocole LDAP
(Lightweight Directory Acces Protocole), son numéro de port
389/TCP.
2- Les objets Active Directory : Serveurs, domaines, sites,
utilisateurs, ordinateurs, groupe, lien de site, imprimantes,
dossier partagé…
3- Schéma Active Directory : Le schéma Active Directory
stocke la définition de tous les objets d’Active Directory (ex :
nom, prénom pour l’objet utilisateur). Le schéma comprend
deux types de définitions : les classes d'objets et les
attributs.
4- Le catalogue global : Le catalogue global contient une
partie des attributs les plus utilisés de tous les objets Active
Directory. Il contient les informations nécessaires pour
déterminer l’emplacement de tout objet de l’annuaire .
5- Le protocole LDAP : LDAP (Lightweight Directory Access
Protocol) est un protocole du service d’annuaire utilisé pour
interroger et mettre à jour Active Directory. Chaque objet de
l’annuaire est identifié par une série de composants :
• DC : (Domain Controller) Composant de domaine.
• OU : (Organizational Unit) Unité d’organisation.
• CN : (Common Name) Nom usuel.
Les composant logiques de la structure d’Active Directory
sont les suivants:
1-Domaine : est un ensemble d’ordinateurs et/ou
d’utilisateurs qui partagent une même base-d-don
d’annuaire. Un domaine a un nom unique sur le réseau.
2-Unité d’organisation : est un objet conteneur utilisé pour
organiser les objets au sein du domaine.
3- Arborescence : est un ensemble de domaines partageant
un nom commun.
4- Forêt: est un ensemble de domaines (ou d’arborescences)
n’ayant pas le même nom commun mais partageant un
schéma et un catalogue global commun.
5- Rôles de maîtres d’opération : - Contrôleur de schéma :
sert à modifier et à mettre à jour le schéma.
- Maître d’attribution des noms de domaine : permet
d’ajouter ou de supprimer un domaine dans une forêt.
- Émulateur PDC : permet le support des clients
(changement des mots de passes
- Maître RID : distribue des plages d’identificateurs relatifs
(RID) à tous les contrôleurs de domaine pour éviter que deux
objets différents possèdent le même RID.
La structure physique permet d’optimiser les échanges
d’informations entre les différentes machines en fonction
des débits assurés par les réseaux qui les connectent. Les
composants de la structure physique :
1-Contrôleurs de domaine : Un contrôleur de domaine est
un ordinateur exécutant Windows Server qui stocke un
répliqua de l’annuaire. Il assure l’authentification et
l’ouverture des sessions des utilisateurs, ainsi les recherches
dans l’annuaire.
2- Sites et liens des sites : Un site est une combinaison d’un
ou plusieurs sous réseaux connectés entre eux par une
liaison à haut débit fiable (liaison LAN). Un lien de site est
une liaison entre deux site. La réplication Active Directory
peut utiliser les protocoles :
• IP pour les liaisons intra site.
• RPC pour les liaisons inter site.
• SMTP pour les liaisons inter site.
Les outils d’administration d’Active Directory :
• Utilisateurs et ordinateurs Active Directory : C’est le
composant le plus utilisé pour accéder à l’annuaire. Il
permet de gérer les comptes d’utilisateurs, les comptes
d’ordinateurs, les fichiers et les imprimantes partagés, les
unités d’organisaio
• Sites et Services Active Directory : Ce composant permet
de définir des sites, des liens de sites et de paramétrer la
réplication Active Directory.
• Domaines et approbations Active Directory : Ce composant
permet de mettre en place les relations d’approbations et
les suffixes UPN. Il propose aussi d’augmenter le niveau
fonctionnel d’un domaine ou d’une forêt.
• Schéma Active Directory : Ce composant permet de
visualiser les classes et les attributs de l’annuaire.
• Gestion des Stratégies de Groupe : Ce composant permet
de centraliser l’administration des stratégies de groupe
d’une forêt, de vérifier le résultat d’une stratégie de groupe
ou bien encore de comparer les paramètres de deux
stratégies de groupe. Ce composant n’est pas disponible sur
le CD-ROM de Windows Server, il doit être téléchargé sur le
site de Microsoft.
• Dsadd, dsmod, dsrm, dsget, dsquery, dsmove : Ces outils
en ligne de commande permettent respectivement
d’ajouter, de modifier, de supprimer, de lister ou de
déplacer des objets dans l’annuaire.
• Csvde : L’outil en ligne de commande CSVDE est utilisé
pour importer des comptes d’utilisateurs à partir d’un fichier
texte vers Active Directory.
Le rôle du Système DNS dans Active Directory : Le système
DNS fournit les principales fonctions ci-dessous sur un
réseau exécutant Active Directory :
• Résolution de noms.
• Convention de dénomination.
• Localisation des composants physiques d’Active Directory.
Les zones DNS intégrées à Active Directory : Les zones DNS
intégrées à Active Directory
Active Directory stockent les enregistrements de ressources
directement dans le service d'annuaire Active Directory. Elle
p euvent être dupliquées sur tous les contrôleurs de
domaine.
Les relations d’approbation
1-Transitivité de l’approbation : Le domaine A approuvé
directement le domaine B. Le domaine B approuve
directement le domaine C. Les deux relations d’approbations
de A à B et de B à C sont transitives, alors le domaine A
approuvé indirectement le do C.
2- Direction de l’approbation : Unidirectionnelle Définition POP3 : signifie Post Office Protocol. Actuellement c'est la
Bidirectionnelle version 3 qui est utilisée. Le service POP écoute sur le port 110 d'un
3- Approbation racine/arborescence : serveur. Le protocole POP a un objectif précis : permettre à l'utilisateur
4- Approbation parent-enfant : de relever son courrier depuis un hôte qui ne contient pas sa boîte aux
5- Approbation raccourcie : lettres.En d'autres termes, POP établie un dialogue entre le logiciel de
6- Approbation externe : messagerie (MUA) et la boîte aux lettres de l'utilisateur sur le serveur.
7- Approbation de forêt Détail du fonctionnement
Création des objets Active Directory en ligne de Le service SMTP est divisé en plusieurs parties, chacune assurant une
commande : fonction spécifique :
1-Création d'un compte utilisateur : dsadd user • MUA : Mail User Agent, c'est le client de messagerie (KMail,
"cn='Abdo',ou= 'OU2',dc='tri',dc='com'" -pwd 'Mdp' -upn Evolution, etc.).
'session' • MTA : Mail Transfert Agent, c’est l’agent qui va transférer votre mail
2- Création d'un groupe : dsadd group vers le serveur chargé de la gestion des emails de votre destinataire.
"cn='Adminstration',ou= 'OU3 ,‘dc='tri',dc='com" Dans la pratique, le courrier peut transiter par plusieurs MTA.
3- Création d'un compte ordinateur : dsadd computer • MDA : Mail Delivery Agent est le service de remise du courrier dans
"cn='Nom',ou= 'unité',dc='Domaine',dc='TLD'" les boîtes aux lettres des destinataires. Donc si on résume, le MUA
4 - Création d'une unité d'organisation : dsadd ou transfert l’email à un MTA qui le transfert au MTA du destinataire (ou à
"cn='Materiel',ou= 'OU2 ,dc='tri',dc='com" un MTA intermédiaire) qui le passe au MDA chargé de stocker l’email
5- Supprime compte utlisateur dsrm " cn=post3ou=OU3, dans la boite aux lettres du destinataire. Dans la pratique le MUA
dc='tri',dc='com'" établit une connexion SMTP avec un MTA qui contacte via SMTP le
Implémentation de comptes de groupe : MTA du destinataire qui est aussi un MDA.
1-Le type de groupe : Fonctionnalités
• Les groupes de sécurité : permettent d’affecter des POP est avant tout un protocole très simple, de ce fait il ne propose
utilisateurs et des ordinateurs à des ressources. que des fonctionnalités basiques:
• Les groupes de distribution : exploitables entre autres • Délimiter chaque message de la boite aux lettres,
via un logiciel de messagerie. • Compter les messages disponibles,
2- L’Étendue de groupe : • Calculer la taille des messages,
• Les groupes globaux : Visibles dans leur domaine et • Supprimer un message,
dans tous les domaines approuvés, Membres des • Extraire chaque message de la boite aux lettres. telnet 192.168.1.20
groupes locaux du même domaine, Autorisations pour 110 USER nom_
Tous les domaines de la forêt PASS password
• Les groupes locaux de domaine : Visibles dans leur DELE numéro_du_mesg : efface le message spécifié ;
propre domaine, Membres d’aucun groupe, LIST : donne une liste des messages ainsi que la taille de
Autorisations pour Le domaine dans lequel le groupe RETR numéro_du_msg : récupère le message indiqué ;
local de domaine existe. STAT : indique le nombre de messages et la taille occupée par
• Les groupes universels : Visibles dans tous les l'ensemble des messages ;
domaines de la forêt, Autorisations pour Tous les TOP numéro_du_msg nombre_de_lignes
domaines de la forêt. Définition IMAP : IMAP (Internet Message Access Protocol) c'est un
Les stratégies de groupe : Une stratégie de groupes est protocole alternetive au POP3, il utilise le numéro de port 143. Il offre
un objet Active Directory qui va contenir un ensemble de beaucoup d'avantage que POP3 :
paramètres (Installation, Configuration, Suppression, • Manipulation des dossiers à distants ,Ajout des messages à un
Désinstallation, Ouverture, Fermeture, …). dossier distant..
NTDS : L’explorateur de Windows s’ouvre et affiche le • Support de dossier multiple (support de dossier hiérarchique, accès à
contenue du dossier des dossiers non email
Ntds qui doit comporter les fichiers suivants : • Optimise la performance en mode en ligne. Un serveur proxy
• Ntds.dit : il s’agit du fichier de base de données (traduction française de «proxy server», appelé aussi «serveur
d’annuaire. mandataire») est à l'origine une machine faisant fonction
• Edb.* : il s’agit des journaux de transaction et des d'intermédiaire entre les ordinateurs d'un réseau local (utilisant parfois
fichiers de points de vérification • Res des protocoles autres que le protocole TCP/IP) et internet.
*.log : il s’agit des fichiers journaux réservés. NTDSUTIL Le principe de fonctionnement
permet de défragmenter la base de données basique d'un serveur proxy est assez simple : il s'agit d'un serveur
Restauration Active Directory : "mandaté" par une application pour effectuer une requête sur Internet
• Une restauration forcée est utile dans le cas ou vous à sa place. Ainsi, lorsqu'un utilisateur se connecte à internet à l'aide
avez effacé des objets dans Active Directory par erreur. d'une application cliente configurée pour utiliser un serveur proxy,
• Une restauration non forcée, est une restauration dite celle- ci va se connecter en premier lieu au serveur proxy et lui donner
normale toutes les modifications faites depuis la sa requête. Le serveur proxy va alors se connecter au serveur que
sauvegarde vont être récupérées lors de la prochaine l'application cliente cherche à joindre et lui transmettre la requête. Le
réplication entre les DCs serveur va ensuite donner sa réponse au proxy, qui va à son tour la
• La restauration principale doit être utilisée uniquement transmettre à l'application cliente.
lorsque les données contenues dans tous les contrôleurs Les fonctionnalités d'un serveur proxy Désormais, avec l'utilisation de
de domaine du domaine sont perdues. TCP/IP au sein des réseaux locaux , le rôle de relais du serveur proxy
Résolution des noms NetBios Il est difficile pour un est directement assuré par les passerelles et les routeurs. Pour autant,
utilisateur de travailler avec des adresses IP. La les serveurs proxy sont toujours d'actualité grâce à un certain nombre
résolution est le processus qui permet d’affecter d'autres fonctionnalités.
automatiquement une traduction entre les noms
alphanumériques et des adresses IP. Tous les ordinateurs
possèdent deux identificateurs :
- Nom alphanumérique
- Adresse IP
Dans les systèmes Windows on trouve deux types de
noms :
- Les noms NetBIOS
- Les noms d’hôtes
récupération de mot de passe pour les routeurs
1.Connectez votre PC sur le port console du cisco.
2. Une fois connecté, tapez : show version.
3. Redémarrez l’équipement. Dans les 30 secondes après
allumage, tapez [CTRL] + C.
4. Tapez alors configreg 0x2102
5. Tapez ensuite reset
6. Au redémarrage du système, tapez no
7. Tapez enable
8. Faites copy startup-config running-config
10. Changez tranquillement votre mot de passe :
11. tapez config-register 0x2102
Mise à jour de l’IOS d’un Routeur :
Router#dir flash:
Router#delete flash:nom_du_fichier_IOS_actuel.bin (On
supprime l’actuel IOS)
Router#copy tftp: flash:
Router#Address 192.168.1.10
Router#Source filename []?
nom_du_fichier_IOS_New.bin
Router(config)#boot systemflash:nom_du_fichier_IOS
Router#wr
Router#reload
Les requêtes HTTP :
requête version HTTP description
GET HTTP/0.9 obtient un document
HEAD HTTP/1.0 obtient l'en-tête de la réponse
POST HTTP/1.0 envoie du contenu au serveur
PUT HTTP/1.1 demande au serveur d'enregistrer la
ressource envoyée
DELETE HTTP/1.1 permet d'effacer un fichier sur le
serveur
TRACE HTTP/1.1 permet de contrôler la requête reçue
par le serveur CONNECT HTTP/1.1 mot réservé pour les
proxies permettant de créer des tunnels
OPTIONS HTTP/1.1 liste les options possibles pour une
ressource donnée
Les authentifications HTTP :
• Basique : simple et facile à craquer les mots de passe
envoyé pour cette méthode.
• Digest : basé sur le hachage des mots de passe, plus
sécurisé que la méthode basique.
• NTLD : supporte les systèmes Win basé sur le protocole
NTLD
Définition HTTP :HTTP (Hyper Text Transfer Protocol) un
protocole de communication client-serveur développé
pour le World Wide Web. permet la transmission des
pages web et aussi d'autres fichiers (vidéo, audio,
image…). HTTP est un protocole de la couche application
Il utilise le protocole TCP et un numéro de port 80. Le
répertoire de base / de publicité toutes les données qui
seront publier doive obligatoire dans le sous répertoire
de publicité + site web + page web Site web peut
identifier par une @ip / n° de port / le nom d’entête
d’hôte.
Définition SMTP : signifie Simple Message Transfert
Protocole, ce protocole est utilisé pour transférer les
messages électroniques sur les réseaux. Un serveur
SMTP est un service qui écoute sur le port 25, son
principal objectif est de router les mails à partir de
l'adresse du destinataire.
La securisation des mots de passe
Router(config)# Cryptez tous les
service password-
encryption mots de passe